Дослідники з Moonlock Lab повідомили про нову складну кібератаку на пристрої з macOS, що отримала назву ClickFix. Зловмисники змогли поєднати зламані акаунти Google Ads із публічними сторінками на платформі claude.ai, щоб змусити власників комп’ютерів Mac самостійно завантажити й запустити шкідливий код.
Про це розповідає ProIT
Як працює атака ClickFix: схема та особливості
Механізм атаки виглядає наступним чином: під час пошуку у Google за типовими запитами, наприклад, “brew macos”, користувач бачить рекламне посилання на claude.ai. Попри те, що сторінка здається легітимною, її контент уже підмінено кіберзлочинцями. На такому ресурсі розміщено покрокову інструкцію зі встановлення програмного інструменту, проте у фінальному кроці міститься не справжній код, а base64-кодований рядок, який завантажує інфостілер на комп’ютер жертви. До моменту виявлення сукупний перегляд цієї інструкції перевищив 15 600 разів.
Для просування шкідливої реклами використовувалися скомпрометовані акаунти Google Ads із високою репутацією, зокрема канадської благодійної організації Earth Rangers та колумбійського ритейлера T S Q SA. Завдяки довірі до цих акаунтів, рекламне оголошення пройшло автоматичні перевірки Google без підозри.
MacSync атакує сховища паролів і криптогаманці
Основним шкідливим елементом у цій кампанії є інфостілер MacSync. Його мета — отримання доступу до Keychain (сховища паролів macOS), збережених логінів у браузерах та приватних ключів від криптогаманців. Після збору всіх даних малвар упаковує інформацію у ZIP-архів і передає її на сервер зловмисників.
Причиною вразливості виступила архітектурна особливість платформи Anthropic: публічні артефакти на claude.ai розміщують на основному домені компанії, що створює ілюзію офіційності. Позначка “user-generated” майже невидима на десктопах і зовсім не відображається на мобільних пристроях, чим і скористалися кіберзлочинці.
“Щоб не стати жертвою: не запускайте команди Terminal з будь-яких сайтів, отриманих через рекламні посилання. Для встановлення пакетів використовуйте виключно офіційні менеджери — brew, pip, npm — з їхніх офіційних сторінок”.
Фахівці рекомендують користувачам Mac бути особливо обережними з командами, які пропонують сторонні ресурси, і для інсталяції програм використовувати лише офіційні джерела та менеджери пакетів.